Código: HOL-WIN64
► Introducción ► Servicios de Red. Necesidades de implementación en entornos Windows. ► Servicio DNS. Funcionalidad y administración. DNSsec ► Servicio DHCP. Implementación, integración con Directorio Activo. Failover DHCP ► Servicio Branch Caché. ► Direct Access (Introducción). ► Servicios de acceso a la red: NAS VPN y RADIUS NAP (Introducción)
► Nombres DNS DIRS. IP => AGENDA TELEFÓNICA ► Dominios: Raíz . “dot” Nivel superior net, com, org,.. Segundo nivel microsoft, terra Subdominio www, nort, east…. FQDN server1.nort.microsoft.net(.) Nombre inequívoco ► Estándares A-Z, a-z, 0-9, Guión (-)
► Zonas de resolución directa Zona primaria Zona secundaria Zona de código Auxiliar ► Zonas de resolución inversa Zona primaria Zona Secundaria
► SOA (Start Of Authority) Principio de autoridad de una zona DNS ► NS (Name Server) Identifican los servidores de nombres de una zona ► Host A o AAAA Para identificar un equipo ► CNAME Alias para cualquier registro ► MX Mail Exchanger – Para los servidores de correo ► PTR Registro de resolución inversa
► Configurar el valor del período de vida ► Configurar la caducidad y el borrado ► Probar la configuración del servidor DNS ► Comprobar que un registro de recursos existe mediante Nslookup.
Los registros de la zona se envían a otros servidores y clientes DNS como respuestas a consultas 1 1 Los servidores y clientes DNS que almacenan el registro en su caché lo mantienen durante el período de vida que se indica en él 2 2 Cuando el TTL caduca, el registro se quita de la caché 3 3 El período de vida (TTL) es un valor de tiempo de espera expresado en segundos que se incluye con los registros DNS devueltos en las consultas DNS Zona TTL configurado en la zona Servidor DNS 1 Cliente DNS Servidor DNS 2 autorizado Servidor DNS 2 autorizado Caché Registro de recursos
DEMO: Ajustar el valor del período de vida para una zona Ajustar el valor del período de vida para un registro de recursos Ajustar el valor del período de vida para una zona Ajustar el valor del período de vida para un registro de recursos
ParámetroDescripciónEjemplo Intervalo de no actualización Período durante el que el servidor DNS no acepta intentos de actualización 7 días (valor predeterminado) Intervalo de actualización Período durante el que el servidor DNS acepta intentos de actualización 7 días (valor predeterminado) La caducidad es el proceso que determina si un registro de recursos DNS anticuado debe quitarse de la base de datos DNS El borrado es el proceso de limpieza y eliminación de datos de nombres anticuados o extintos de la base de datos DNS Un intento de actualización es el proceso en el que un equipo solicita una actualización de su registro DNS
1 ene15 ene8 ene Borrar Intervalo de no actualización Intervalo de actualización Intervalo de actualización Marca de tiempo Marca de tiempo Caducidad 7 días
DEMO: Configurar los parámetros de caducidad y borrado en el servidor DNS Configurar los parámetros de caducidad y borrado en una zona DNS Habilitar el borrado automático de los registros de recursos obsoletos en un servidor DNS Iniciar inmediatamente el borrado de los registros de recursos obsoletos Ver cuándo una zona puede empezar a borrar los registros obsoletos Configurar la marca de tiempo en un registro de recursos DNS Configurar los parámetros de caducidad y borrado en el servidor DNS Configurar los parámetros de caducidad y borrado en una zona DNS Habilitar el borrado automático de los registros de recursos obsoletos en un servidor DNS Iniciar inmediatamente el borrado de los registros de recursos obsoletos Ver cuándo una zona puede empezar a borrar los registros obsoletos Configurar la marca de tiempo en un registro de recursos DNS
Nslookup es una utilidad de línea de comandos que se emplea para diagnosticar la infraestructura DNS
► En Windows 2008 Server Wins es una caracteristica ► Un gran problema: IPv6 doesn't no entiende de WINS/NetBIOS y vice versa
► IPv6 trae registros AAAA ("quad-A"), que mapea nombres de equipo con direcciones IPv6 ► Clientes DNS de Vista y 2008 registran automaticamente recursos AAAA ► Aunque las direcciones que comienzan con "FE80" no se registran en DNS
1 Enumerar zonas 2 Carga de sugerencias raiz 3 Carga archivo de zonas (system32\dns\*.dns) 4 Abre puertos RPC para consultas 5 Carga las zonas integradas en AD DNS no puede responder hasta que se cargan las zonas de AD
► DNS es ahora multitarea. ► No acepta acctualizaciones hasta que se cargan todas las zonas
► Con WINS nos podiamos refererir a un servidor con server44 en vez de server44.eastcoast.sales.bigfirm.com ► En un AD simple, todavia tenemos esta caracteristica ► Que pasa en otros entornos?
► Podiamos implementar una lista de sufijos DNS via GPOs (Computer Config / Admin Templates / Network / DNS Client) ► Pero…. Que pasa si hay multiples server44s? El cliente para la resolucion DNS tras 12 segundos y despues acude a WINS
► Crear una zona llamada "GlobalNames" ► Todos los servidores DNS autoritativos deben ser Server 2008 ► En cada servidor que posea la zona, hay que habilitar la resolucion global name dnscmd /config /enableglobalnamessupport 1 ► Añadir CNAMEs ► Para asegurarnos de que "server44" siempre devuelva server44.sales.bigfirm.com, crear este GlobalNames: server44 CNAME server44.sales.bigfirm.com
Dom2003.local Dom2008.local Change Config Files Change Reg Change Code
► Poner el registro DNAME en el dominio antiguo ► Deberia apuntar al nuevo dominio ► Por ejemplo: Migrar de Dom2003.local->Dom2008.local Editar la zona Dom2003.local Añadir un registro “Dom2003.local. DNAME Dom2008.local.” Efecto: la busqueda de en el servidor DNS retornara el registro de tipo A de
► No GUI! dnscmd servername /recordadd DNAME Microsoft.com
► dnscmd /zoneadd Dom2003.local /primary ► dnscmd /zoneadd Dom2008.local /primary ► dnscmd /recordadd Dom2008.local S2008M1 A ► dnscmd /recordadd dname Dom2008.local ► nslookup S2008M1.Dom2003.local
► ¿Qué es? Es una suite de extensión de DNS RFCs 4033, 4034, y 4035 ► ¿Qué hace? Añade autoridad de origen Integridad de datos Denegación autenticada de existencia Nuevos registros: DNSKEY (guarda la clave pública) RRSIG (Resource Record Signature) NSEC (Next Secure) DS (Delegator Signed)
► Seguridad SSL IPsec ► Recursos y rendimiento Aumenta el uso de CPU para la validación de datos Aumenta el uso de la red, mayor número de paquetes Tarda de 3 a 5 veces más en cargar una zona segura con DNSsec que una zona no segura. Si hay zonas grandes ADI, la base de datos de AD aumenta considerablemente
► Procedimiento Firmar una zona Generar los pares de claves para la zona o DnsCmd /OfflineSign /GenKey /Alg rsasha1 /Flags KSK /Length /Zone /SSCert /FriendlyName KSK- o DnsCmd /OfflineSign /GenKey /Alg rsasha1 /Length /Zone /SSCert /FriendlyName ZSK- Copia de seguridad de las claves o Desde la consola de certificados (MS-DNSSEC) Firmar la zona o DnsCmd /OfflineSign /SignZone /input /output /zone /signkey /ValidTo /ValidFrom /cert /friendlyname ksk- /signkey /cert /friendlyname zsk- Si es ADI: dnscmd /ZoneExport
► Procedimiento Firmar una zona Recargar la zona o dnscmd /ZoneDelete /f o dnscmd /ZoneAdd /file /load Si es ADI o dnscmd /ZoneDelete /dsdel /f o dnscmd /ZoneAdd /file /load o dnscmd /ZoneResetType /dsprimary Comprobar la zona Mediante nslookup Buscar registro DNSKEY en la consola DNS
► Protocolo de configuración dinámica de Host ► No sólo configura la IP ► Integrado con DNS ► Compatible con IPv6 ► Preparado para WDS y PXE ► Ahora Failover cluster
► Es un rol de Windows Server 2008 R2 Configurar los interfaces que responderán peticiones de DHCP Configuración IPv4 e IPv6 Añadir ámbitos de DHCP Autorizar el servidor en un dominio Configurar opciones de servidor
► Antes para poder disponer de alta disponibilidad de DHCP se tenía que usar la regla del Un servidor con el 30% del ámbito excluido Otro servidor con el 70% del ámbito excluido ► Ahora es posible clusterizar el servicio de DHCP
► Novedad: Branch Cache Modelo Distribuido Modelo Hospedado ► Frente a DFS (Distributed File System) Espacio de nombres Replicación de ficheros ► Diferencias Reducción del trafico de red Reducción del espacio de almacenamiento
► Modelo Distribuido
► Modelo Hospedado
► Configurar el servidor de Branc Cache Instalar característica de Branch Cache Configurar los servidores de Branch Cache mediante GPO Configuración de equipo, Directivas, Plantillas administrativas, Red, Servidor Lanman. Habilitar publicación de HASH para BranchCache. ► Configurar el servidor de ficheros Instalar el servicio de rol Branch Cache para el servidor de ficheros Habilitar Branch Caché para los recursos compartidos
► Configurar los equipos para usar Branch Cache Habilitar BrachCache distribuido a través de las GPOs Configuración de equipo, Directivas, Plantillas administrativas, Red, BranchCache. o Activar BrachCache o Establecer el modo de Branch Caché (distribuido/hospedado) o Configurar BranchCache para archivos de red Habilitar reglas de firewall a través de GPOs Reglas de entrada predefinidas o BranchCache: recuperación de contenido (usa HTTP) o BranchCache: detección del mismo nivel (usa WSD)
► Ofrecen acceso a la red de manera local o remota ► Permite definir directivas para (NPS): Autenticación Autorización Mantenimiento de clientes ► Servicios de enrutamiento y acceso remoto VPN Routing ► Autoridad de registro de mantenimiento (HRA) ► Protocolo de autenticación de credenciales de host (HCAP)
VPNDirectAccess Manageability Granular Security Ease of use Ubiquitous Easy to install
DirectAccess Server (Server 2008 R2) DirectAccess Client (Windows 7) Internet Native IPv6 6to46to4 TeredoTeredo IP-HTTPSIP-HTTPS Tunnel over IPv4 UDP, HTTPS, etc. Encrypted IPsec+ESP IPsec Gateway Encrypted IPsec+ESP IPsec Hardware Offload Supported
► Redes Interconectadas ► Datos Distribuidos ► Trabajadores Móviles ► Extranet de Negocio ► Acceso Remoto ► Servicio Web ► Wireless ► Dispositivos Móviles Internet Intranet Remote Employees Remote Access Gateway Web Server Customers Perimeter X Infrastructure Servers Extranet Server
Validación de Políticas Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables” Restricciones de Red Restringe el acceso a la red a los equipos en función de su salud Remediación Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red Cumplimiento sobre la marcha Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red
No Cumple la Política 1 Red Restringida El cliente solicita acceso a la red y presenta su estado de salud actual 1 4 Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa MSFT NPS 3 Servidor de Políticas e.g. Patch, AV Cumple la Política 3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT 2 Cliente Windows DHCP, VPN Switch/Router Fix Up Servers e.g. Patch Red Corporativa 5 4
ForzadoCliente SaludableCliente no Saludable DHCP Configuración IP completa. Acceso Total Conjunto de rutas restringido Direct AccessAcceso TotalVLAN Restringida HTTPSAcceso TotalVLAN Restringida 802.1XAcceso TotalVLAN Restringida IPsec Puede comunicar con cualquier nodo en que confie Nodos saludables rechazan la conexión de sistemas no Saludables Complementa la protección a nivel 2 Funciona con la infraestructura existente Aislamiento Flexible
Solicitando Acceso. Mi estado de salud MS NPS Cliente Switch802.1X Servidores de Remediación ¿Puedo acceder? Aquí esta mi estado de Salud ¿Debe este cliente ser restringido basándonos en su estado de salud? Actualización de políticas al servidor NPS Tienes acceso restringido hasta que te actualices ¿Puedo obtener Actualizaciones? Aquí las tienes. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Red Restringida Se permite el acceso total al Cliente Servidores de Chequeo de Salud Según las políticas, el cliente cumple. Permitir Acceso. Patch Status AV Status
► Informática 64 ► Ignacio Sánchez-Beato Paredes